News

Verschlüsselungstrojaner tarnt sich als Bewerbungs-E-Mail mit Anhang

27.06.2016 - Das Verschlüsselungsprogramm Cerber (alternative Bezeichnung: Zerber) treibt aktuell im deutschsprachigen Raum sein Unwesen. Die Erpressungs-Software (Ransomware) attackiert unter ...

Das Verschlüsselungsprogramm Cerber (alternative Bezeichnung: Zerber) treibt aktuell im deutschsprachigen Raum sein Unwesen. Die Erpressungs-Software (Ransomware) attackiert unter anderem Unternehmen mit sehr authentisch erscheinenden, deutschsprachigen Bewerbungs-E-Mails. Entsprechend der Analysen von Kaspersky Lab steigen die Cerber-Attacken seit Anfang Mai 2016 kontinuierlich an – mit zwei größeren Angriffswellen Ende Mai beziehungsweise Anfang Juni.

Weltweit am häufigsten werden laut Kaspersky Lab die Länder USA, Großbritannien und Deutschland [1] von Cerber attackiert.

Der digitale Erpresser wird hierzulande unter anderem über eine deutsche Bewerbungs-E-Mail verbreitet [2]. Die angebliche E-Mail ist sehr gut getarnt. Sie kommt unter anderem von einer Adresse eines großen deutschen Providers mit real klingenden Absendernamen, enthält keine Rechtschreib- oder Grammatikfehler und weist inhaltlich auf die Bewerbungsunterlagen im Anhang hin. Der Anhang enthält eine ZIP-Datei inklusive einem Word-Dokument. Wird die Word-Datei mit aktivierten Makros geöffnet, können auf dem Rechner gespeicherte Daten verschlüsselt und mit der Dateiendung „.cerber“ versehen werden.

„Kurz nach der Infektion bekommt das Opfer eine Lösegeldforderung angezeigt, zur sofortigen Zahlung via Bitcoin – im Gegenwert von etwa 440 Euro“, weiß Christian Funk, Leiter des deutschen Forschungs- und Analyse-Teams bei Kaspersky Lab. „Zudem haben wir festgestellt, dass die von den Cyberkriminellen genutzten Server im Tor-Netzwerk verborgen sind.“

Deutschland wird digital erpresst
Jüngst gab es hierzu deutschlandweit auch Warnungen der Polizei – beispielsweise in Nordrhein-Westfalen, Niedersachsen und Rheinlandpfalz [3]. Dabei wurden offenbar mittelständische Unternehmen aus verschiedenen Bereichen Opfer von Cerber.

„2016 ist bisher das Jahr der Ransomware [4]. Ob Locky, Coinvault, Teslacrypt, CryptXXX oder Petya, ob auf stationären Rechnern oder vermehrt auch mobil – sowohl Heimanwender als auch Unternehmen haben mit digitalen Erpressern zu kämpfen“, ergänzt Christian Funk.

Kaspersky-Sicherheitstipps
Sowohl Unternehmen als auch Privatanwender schützen sich vor einem Ransomware-Angriff, in dem sie die folgenden Regeln beachten:

  • Vorsicht bei E-Mail-Anhängen: Nutzer sollten keine Attachments innerhalb von E-Mails von unbekannten Personen öffnen – auch wenn die E-Mail sonst keine Anzeichen für einen Cyberangriff enthält.
  • Regelmäßig Backups erstellen, damit man im Ernstfall wieder auf die unverschlüsselten Daten zurückgreifen kann.
  • Software aktualisieren: Betriebssystem, Browser und alle weiteren genutzten Programme sollten immer mit den aktuell verfügbaren Patches auf den neuesten Stand gebracht werden.
  • Aktuelle Sicherheitssoftware einsetzen: Moderne Antivirenschutzlösungen wie Kaspersky Total Security – Multi-Device [5] oder Kaspersky Small Office Security [6] schützen vor einer Infizierung.
  • Nicht bezahlen: Kaspersky Lab rät davon ab, das geforderte Lösegeld zu bezahlen. Stattdessen sollten bei digitalen Erpressungsversuchen die Strafverfolgungsbehörden eingeschaltet werden.

Kaspersky Lab erkennt und blockiert sämtliche bekannten Modifikationen von Cerber/Zerber als „Trojan-Ransom.Win32.Zerber“. Vor gegebenenfalls noch unbekannten Modifikationen schützen die Lösungen von Kaspersky Lab über verhaltensbasierte Technologien beziehungsweise über ein spezielles Anti-Cryptor-Modul. So können bei einer unerlaubten Verschlüsselung die betroffenen Daten wiederhergestellt und ein System auf den ursprünglichen Zustand zurückgesetzt werden.

[1]<media 11139>http://newsroom.kaspersky.eu/fileadmin/user_upload/de/Downloads/PDFs/KL_Grafik_Verbreitung_Cerber.JPG</media>

Die Analyse von Kaspersky Lab basiert auf anonymen Daten, die aus dem cloudbasierten Kaspersky Security Network (KSN) gewonnen werden. Am KSN können Kaspersky-Kunden auf freiwilliger Basis teilnehmen. Die von Kaspersky Lab erhobenen Daten werden anonym und vertraulich behandelt. Es werden keine persönlichen Daten wie zum Beispiel Passwörter gesammelt. Über das KSN erhält Kaspersky Lab Informationen über Infizierungsversuche und Malware-Attacken. Die dabei gewonnenen Informationen helfen vor allem den Echtzeitschutz für Kaspersky-Kunden zu verbessern. Ausführliche Informationen über das KSN sind in einem Whitepaper aufgeführt, das unter http://www.kaspersky.com/images/KESB_Whitepaper_KSN_ENG_final.pdf abrufbar ist.

[2] <media 11140>http://newsroom.kaspersky.eu/fileadmin/user_upload/de/Downloads/PDFs/KL_Cerber-Angriffsmail.JPG</media>

[3] siehe http://www.focus.de/regional/nordrhein-westfalen/borken-polizei-firmenrechner-durch-schadsoftware-infiziert_id_5602521.html / http://www.hna.de/lokales/northeim/einbeck-ort55445/trojaner-installiert-einbecker-firma-wird-opfer-cyberkriminellen-6468162.html / http://www.blogspan.net/presse/pol-ppwp-cyberkriminelle-legen-unternehmen-lahm/mitteilung/1194879/

[4] http://www.kaspersky.com/de/about/news/virus/2016/Kaspersky_Lab_kennt_derzeit_uber_60_Modifikationen_der_Ransomware_Locky

[5] http://www.kaspersky.com/de/total-security-multi-device

[6] http://www.kaspersky.com/de/business-security/small-office-security

Kontakt

Kaspersky Labs GmbH

Despag-Straße 3
85055 Ingolstadt
Deutschland